S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Comment Windows 8 veut simplifier et sécuriser les mots de passe

Le compte Live comme passeport numérique

Microsoft vient de publier un nouveau billet dans le blog officiel de Windows 8. L’éditeur s’attaque cette fois à un gros morceau : la gestion des mots de passe au sein du système et donc le degré de sécurité qui en découle. Face à plusieurs problématiques inhérentes aux choix des mots par les utilisateurs, Windows 8 apportera plusieurs réponses.

windows 8 win8

La situation actuelle est trop complexe

Les mots de passe sont une protection pratiquement aussi vieille que l’informatique. Il est très vite apparu la nécessité de protéger des données via une série de caractères alphanumériques. Depuis, chacun en possède au moins pour son compte de courrier électronique, mais de la réflexion à la base du choix du mot découle le degré de protection. Dans l’idéal, il faudrait des lettres, minuscules et majuscules, des chiffres ainsi que des caractères spéciaux. De plus, toujours en idéalisant la situation, chaque compte devrait avoir son mot de passe unique.

Le problème est alors simple : plus l’utilisateur a de mots de passe complexes, plus il a de mal à s’en rappeler. Il existe du coup deux conséquences :
  • Les utilisateurs n’ont finalement que peu de mots de passe différents
  • Des méthodes tierces de stockage des mots de passe peuvent être mises en place
Ces deux constats ont chacun leur conséquence. Dans le premier cas, c’est une conséquence simple de sécurité : si un attaquant quelconque trouve un mot de passe, il peut accéder facilement à d’autres services. Le cas survient notamment quand un utilisateur se sert d’une adresse email et de son vrai mot de passe comme éléments d’identification sur un autre service. Dans le deuxième cas, il s’agit d’une solution efficace, mais uniquement si le mot de passe central est suffisamment fort (complexe). Il requiert cependant l’utilisation d’un produit dédié.

Les solutions proposées par Windows 8

Le futur Windows prendra en charge différentes méthodes d’identification. Les mots de passe pourront notamment être gérés de deux manières. La première est classique : un mot de passe par compte. L’éditeur explique qu’Internet Explorer 10, livré avec Windows 8, enregistrera bien entendu les mots de passe dans une zone sécurisée. Les sites web bloquant l’enregistrement du mot fonctionneront toujours comme tels.

windows 8 win8

L’autre méthode est l’héritage directe de l’intégration des comptes Live au cœur du système. L’utilisateur, s’il renseigne son compte Live, pourra choisir de synchroniser les mots de passe. Conséquence : toute identification sur un site web provoquera l’enregistrement des informations dans une zone sécurisée du compte. Il y a deux avantages : l’utilisateur n’a plus besoin de retenir les comptes, ce qui équivaut à un outil dédié, mais ces derniers seront en outre synchronisés sur les autres machines. En clair, l’utilisateur transporte avec lui ses mots de passe. Notez d’ailleurs que c’est également vrai pour d’autres données telles que les clés des réseaux Wi-Fi, et que les applications Metro disposeront d’une API capables de faire appel à cette fonction.

En aparté, signalons que cet enregistrement existe depuis des années avec les comptes MobileMe proposés par Apple. La firme de Cupertino a cependant décidé pour une raison inconnue de supprimer cette fonction lors du passage à iCloud. Il n’est cependant pas interdit qu’elle refasse son apparition plus tard.

Et en entreprise ?

D’autres méthodes sont supportées, notamment l’identification par clés publique/privée. Avec une telle infrastructure, l’authentification sur un service provoque une demande de ce dernier pour l’obtention de la clé privée, qu’il peut lire grâce à la clé publique. Les avantages sur le simple mot de passe sont multiples, mais on notera particulièrement l’impossibilité pour un keylogger d’enregistrer ces informations puisqu’il n’y a pas de frappe au clavier. Si cette méthode n’a pas supplanté le mot de passe, c’est qu’elle réclame un matériel dédié, comme une smart card ou une puce particulière. Problème : si l’utilisateur n’a pas ce matériel avec lui, il ne peut pas s’authentifier. De fait, la propagation chez le particulier est compromise.

Plusieurs modifications ont cependant été apportées. Premièrement, les clés publiques et privées peuvent être stockées dans un KSP (Key Storage Provider) qui utilise l’environnement TPM (Trusted Platform Module) pour assurer leur protection. Les TPM sont courants en entreprise, et c’est à elles que s’adresse ce changement. Les applications Metro disposent de plus d’une API permettant d’appeler cette fonctionnalité.

Dans les cas des sociétés plus grandes qui utilisent des infrastructures de smart cards, Windows 8 peut utiliser le TPM comme une carte virtuelle. Microsoft assure que cette possibilité, si elle est activée, ne demande aucune modification coté client ou serveur : les services et applications réclamant une smart card la détectent en tant que telle.

Mais la principale nouveauté pour le grand public sera surtout l’enregistrement des mots de passe dans le compte Live. Ce dernier aura donc une importance cruciale et, s’il est utilisé, réclamera un mot de passe particulièrement fort. Un constat identique en fait à la situation avec iCloud d’Apple ou Google, ces comptes renfermant une proportion toujours plus importante de la vie numérique des utilisateurs.
Source : Microsoft
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 15/12/2011 à 12:02

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 71 commentaires

Commentaire de Antwan supprimé le 15/12/2011 à 14:22:27 : Spam
Avatar de atomusk Modérateur
atomusk Le jeudi 15 décembre 2011 à 14:24:25
Inscrit le mardi 20 juillet 04 - 21745 commentaires
Desolé Antwan, je penses savoir ce que tu voulais dire, mais dans le doute j'ai préféré modérer ton commentaire

tu peux recommencer en argumentant ?

Edité par atomusk le jeudi 15 décembre 2011 à 14:24
Avatar de Antwan INpactien
Antwan Le jeudi 15 décembre 2011 à 14:27:58
Inscrit le mardi 10 juin 08 - 1313 commentaires
Mais c'était une blague, les visiteurs sont pas assez cons pour ça

On est quand même sur PCI ici

Edité par Antwan le jeudi 15 décembre 2011 à 14:28
Avatar de ano_635145921246249171 INpactienne
ano_635145921246249171 Le jeudi 15 décembre 2011 à 14:31:33
Inscrite le mercredi 4 novembre 09 - 1252 commentaires
Desolé Antwan, je penses savoir ce que tu voulais dire, mais dans le doute j'ai préféré modérer ton commentaire tiré d'abord


yeaaaaah ...... à l'americaine
Avatar de ano_635110013168370034 INpactien
ano_635110013168370034 Le jeudi 15 décembre 2011 à 14:31:44
Inscrit le mardi 19 juillet 05 - 8330 commentaires


Oui et non, pour un mdp de 8 caractères, ça aidera fortement d'avoir des minuscules, majuscules, des chiffres,.... Par contre, ça ne sera certainement pas plus fort qu'un mot de passe bien plus long mais entièrement en minuscule.


Ben du coup ça sert à quoi de limiter la longueur d'un mot de passe à 8 caractères ? A l'époque où la RAM d'un ordi se comptais en Kb et sa réquence en Mhz, je veux bien, mais aujourd'hui... Et même (et surtout) pour un quidam moyen, il est plus facile de retenir et de taper un truc du genre "mon cheval est boiteux" que "lTyOx)]f", comme le souligne le pertienent "gag" donné par Atomusk. Et en plus c'est plus sécurisé, que demande le peuple ?
Avatar de atomusk Modérateur
atomusk Le jeudi 15 décembre 2011 à 14:33:24
Inscrit le mardi 20 juillet 04 - 21745 commentaires
Mais c'était une blague, les visiteurs sont pas assez cons pour ça

On est quand même sur PCI ici

Dans le doute, j'ai préféré
Et tu serai surpris du nombre de gens qui peuvent tomber dans le panneau

Voici donc mon message légérement modifié avec mon méa culpa

Bonjour, Nous sommes Andy et John, les directeurs de MSN. Nous sommes désolés de cette interruption mais MSN doit fermer. Pour ne pas fermer votre compte merci de confirmer votre mot de passe en l'envoyant à l'adresse { fishing }@hotmail.fr

Si vous souhaitez fermer votre compte, N’ENVOYEZ PAS CE MESSAGE ! Mais si vous voulez garder votre compte, alors ENVOYEZ CE MESSAGE A { fishing }@hotmail.fr. Ceci n’est pas une blague, nous fermeront les servers.Donc envoyez le message, merci.

QUICONQUE N’ENVERRA PAS CE MESSAGE VERRA SON COMPTE FERME.
MERCI POUR VOTRE ATTENTION ET DE VOTRE COMPREHENSION.




Edité par atomusk le jeudi 15 décembre 2011 à 14:34
Avatar de atomusk Modérateur
atomusk Le jeudi 15 décembre 2011 à 14:35:46
Inscrit le mardi 20 juillet 04 - 21745 commentaires


yeaaaaah ...... à l'americaine

tu es gentil tu me rajoute pas des fautes de grammaire à mes commentaires j'en fait suffisemment tout seul : c'est "tirER" d'abord
Avatar de DEATH INpactien
DEATH Le jeudi 15 décembre 2011 à 14:39:08
Inscrit le mardi 29 avril 03 - 924 commentaires
Une bonne avancée, assez proche de ce que propose KDE Wallet ou Gnome Keyring.


Un a priori largement répandu (et qui continue d'être véhiculé par les IT un peu partout dans le monde) mais pas forcément vrai.


Exact, rien de mieux qu'une passe phrase.

Et pour hachu21, avec une bonne passe phrase (mais pourtant simple à retenir) même avec CUDA et un core i7, ce n'est pas 2 siècle qu'il faudra, mais plusieurs centaines ! Et pour peu qu'on mette quelques subtilité simple mais efficace dans la passe phrase (quelques majuscules, un ou deux accents etc.) alors là... ça vit combien de temps un être humain moyen ?
Avatar de ano_635145921246249171 INpactienne
ano_635145921246249171 Le jeudi 15 décembre 2011 à 14:39:09
Inscrite le mercredi 4 novembre 09 - 1252 commentaires

tu es gentil tu me rajoute pas des fautes de grammaire à mes commentaires j'en fait suffisemment tout seul : c'est "tirER" d'abord


j'ai tirer ? mdr2.gif
Ghislaine on t'a reconnu
Avatar de le podoclaste INpactien
le podoclaste Le jeudi 15 décembre 2011 à 14:40:03
Inscrit le mardi 1 août 06 - 12593 commentaires

mouais... les stockage de mot de passe sur la bécane me parait pas vraiment sécurisé : imaginons je perds mon laptop avec mes mots de passe "dans une zone sécurisée".
Si il tombe entre de mauvaises mains, le gars aura tout le temps de passer outre les sécurités avec un "simple" brute force.
Ne me dites pas que ça va prendre 2 siècles : la plupart des soft de brute force prennent en charge CUDA. 1 core I7 et 2 560Ti permettent une vitesse d'attaque inquiétante en cas d'accès physique à la machine.


Faut voir si ton voleur de laptop va prendre ce temps-là, s'il a seulement les compétence technique et si au final ce genre d'opération en vaut vraiment la peine.

Face à la seule valeur du matériel ou des données auxquelles l'accès reste facile, craquer le mot de passe du trousseau n'est peut-être pas si intéressant pour le voleur moyen face au matériel du quidam moyen.
;